TL;DR: Die kürzlich bekannt gewordene CVE-2024-4577 PHP-Schwachstelle wurde schnell von der TellYouThePass Ransomware-Bande ausgenutzt, um seit dem 7. Juni in Server einzudringen und Dateien zu verschlüsseln. Censys hat ein Live Dashboard veröffentlicht, das die öffentlich exponierten infizierten Hosts verfolgt und bis zum 13. Juni etwa 1.000 beobachtet, die sich hauptsächlich in China befinden.
Wir haben über dieses Problem erstmals in einem am 10. Juni 2024 veröffentlichten Hinweis geschrieben: https://censys.com/cve-2024-4577/.
In diesem Blog werden wir die Entwicklung der Ausnutzung dieser Schwachstelle, die TellYouThePass-Kampagne und unsere Beobachtungen in Bezug auf gefährdete Hosts erläutern.
Zusammenfassung
- CVE-2024-4577 ist eine kritische Sicherheitslücke bei der Remotecodeausführung (RCE), die alle Versionen von PHP betrifft. Laut dem ursprünglichen Empfehlungerlaubt es nicht authentifizierten Angreifern, beliebigen Code auf verwundbaren PHP-Servern unter einer der folgenden Konfigurationen auszuführen:
- PHP im CGI-Modus ausführen
- Die PHP-Binärdatei im CGI-Verzeichnis freizugeben - was zufällig die Standardkonfiguration in XAMPP, einem beliebten Apache-Webserver-Paket
- Die TellYouThePass Ransomware-Bande nutzt diese Schwachstelle seit etwa dem 7. Juni 2024 aktiv aus, um Ransomware zu verbreiten. Diese Kampagne spiegelt frühere Ransomware-Vorfälle wider, bei denen Banden nach einer aufsehenerregenden Sicherheitslücke das Internet massenhaft nach anfälligen Systemen durchsuchen und wahllos jeden zugänglichen Server ins Visier nehmen.
- Censys veröffentlichte ein Dashboard veröffentlicht, in dem öffentlich zugängliche Hosts, die mit der TellYouThePass-Ransomware infiziert sind, im Laufe der Zeit verfolgt werden:
- Die erste Opfer das Ransomware-Artefakte preisgibt erschien in unseren Scans am 8. Juniund deckt sich mit Beobachtungen von Imperva
- Es gibt jetzt etwa 1.000 kompromittierte Hosts online (Stand: 13. Juni), hauptsächlich in Chinanachdem der anfängliche Anstieg am 10. Juni bei 1.800 Hosts lag. Diese Zahl könnte höher sein, wenn die kompromittierten Server keine Verzeichnisindizierung konfiguriert haben.
- Die in China beobachtete überproportionale Ausbeutung ist wahrscheinlich darauf zurückzuführen, dass Windows-Systeme mit chinesischem oder japanischem Gebietsschema von Natur aus anfällig sind aufgrund der Standard-XAMPP-Konfiguration anfällig sind.
- Die Ransomware scheint den Dienst in ein offenes Verzeichniszu wechseln, Dateien zu verschlüsseln und Erpresserbriefe hinzuzufügen (mit Dateinamen wie READ_ME9.html, READ_ME10.html, READ_ME11.html).
- Die Erpresserbriefe sind fast identisch und fordern 0,1 BTC.
- Ein rechtzeitiges Patchen ist der beste Weg, um das Risiko eines Angriffs zu verringern, ebenso wie die Umstellung auf die sichereren Mod-PHP, FastCGI oder PHP-FPM anstelle des veralteten PHP-CGI
- Censys Search query for compromised hosts: services: (http.response.body:{“READ_ME9.html”, “READ_ME10.html”, “READ_ME11.html”} and http.response.body:”*.locked*”).
Hintergrund
CVE-2024-4577 ist eine Befehlsinjektionsschwachstelle in allen ungepatchten Versionen von PHP, die unter bestimmten Umständen aus der Ferne ausgenutzt werden kann. Sie rührt von unsicheren Zeichenkodierungskonvertierungen her, mit denen die Schutzmaßnahmen umgangen werden können, die zur Abschwächung von CVE-2012-1823.
Die Forscher hinter diesem CVE haben festgestellt, dass ein beliebtes Projekt, XAMPP für Windowsstandardmäßig eine dieser anfälligen Konfigurationen ausführt. XAMPP ist ein beliebtes Open-Source-Paket für die Apache-Distribution zur Entwicklung von Webservern.
TellYouThePass ist eine Ransomware-Bande, die seit 2019 aktiv ist und dafür bekannt ist, weit verbreitete Sicherheitslücken wie Log4Shell und Apache ActiveMQ . Schwachstellen. Es ist bekannt, dass sie sowohl Unternehmen als auch Privatpersonen auf Windows- und Linux-Systemen angreifen.
Diese Kampagne folgt einem Muster, das wir schon öfter gesehen haben: Eine kritische Sicherheitslücke, die eine große Anzahl von im Internet exponierten Servern betrifft, erregt die Aufmerksamkeit opportunistischer Bedrohungsakteure, und das Ergebnis ist eine massenhafte Ausnutzungskampagne, die auf anfällige Server abzielt, die online am leichtesten zu finden sind, unabhängig davon, wem sie gehören oder was sie sind.
Es ist wahrscheinlich, dass es sich bei vielen dieser Kompromittierungen um persönliche Webserver oder vergessene Systeme handelt, die nicht mehr aktiv gewartet werden. Und ähnlich wie bei früheren Ransomware-Vorfällen, die wir verfolgt haben, wie ESXiargs (Februar 2023) und Deadbolt QNAP NAS (Januar 2022), werden die Ransomware-Notizen aus dieser Kampagne wahrscheinlich für einen längeren Zeitraum, möglicherweise Jahre, auf den betroffenen Systemen verbleiben, bis diese schließlich außer Betrieb genommen werden.
Obwohl CVE-2024-4577 kritisch ist und aktiv ausgenutzt wird, deuten die besonderen Umstände, die für die Anfälligkeit eines Systems erforderlich sind, und die relativ geringe Ausgereiftheit der eingesetzten Ransomware darauf hin, dass die Auswirkungen auf eine Untergruppe von Systemen beschränkt sein könnten, die die Kriterien für die Anfälligkeit erfüllen (japanische oder chinesische Sprachumgebungen und die Möglichkeit, Argumente einzuschleusen, die auf irgendeine Weise direkt an die PHP-Binärdatei übergeben werden (d. h. PHP-CGI)).
Unternehmen und Einzelpersonen sollten sich vorrangig um Patches und Sicherheit für ihre Systeme kümmern, insbesondere für solche, auf denen Windows PHP mit chinesischen oder japanischen Sprachumgebungen läuft.
Zeitleiste der Ereignisse
- 7. Mai: CVE-2024-4577 Sicherheitslücke entdeckt und an das PHP-Team gemeldet
- 6. Juni: PHP veröffentlicht Sicherheitsupdates (Versionen 8.3.8, 8.2.20 und 8.1.29), um die Schwachstelle zu beheben (https://www.php.net/downloads)
- 7. Juni: Proof-of-Concept-Exploit-Code für CVE-2024-4577 veröffentlicht
- 7-8 Juni: Die TellYouThePass-Ransomware-Gang beginnt mit der Ausnutzung der Sicherheitslücke, und das erste Opfer wird gemeldet
- 8. Juni: Anhand historischer Daten beobachtete Censys den ersten Satz von kompromittierten TellYouThePass-Hosts
- 10. Juni: Imperva berichtet über die Ausnutzung von CVE-2024-4577 zur Verbreitung von TellYouThePass-Ransomware
- 13. JuniCensys veröffentlichte ein Live-Dashboard zur Verfolgung öffentlich zugänglicher infizierter Hosts
Censys Fundstücke
TellYouThePass-Infektion Artefakte
Aus unserer Scan-Perspektive scheint die Ransomware das Aussehen eines Dienstes in ein offenes Verzeichnis zu ändern (wenn der Server so konfiguriert wurde, dass die Verzeichnisindizierung aktiviert ist), wodurch das Dateisystem des konfigurierten Dienstes ausgelesen wird.
Bei der Analyse dieser Verzeichnislisten stellen wir fest, dass das Erpressungstool zunächst jede Datei in eine mit einem Punkt gesperrte (.locked) Datei verschlüsselt, dann die unverschlüsselte Originaldatei entfernt und schließlich einen oder mehrere Erpresserbriefe hinzufügt, die der Namenskonvention "READ_ME[0-9]+.html" folgen. Die folgenden Bildschirmfotos veranschaulichen dies:
Dienst wie beobachtet von Censys am 07. Juni 2024 05:32 AM UTC - vor der Kompromittierung
Dienst beobachtet von Censys am Jun 08, 2024 03:49 PM UTC - nach Kompromiss
Dieser historische Diff kann auch genauer unter Censys Search eingesehen werden: https://search. xml-ph-0000@deepl.internal .io/hosts/202.61.85.104/diff?at_time=2024-06-07T05%3A32%3A44.485Z&at_time_b=2024-06-08T15%3A49%3A43.302Z
Bisher haben wir drei verschiedene Erpresserbriefe identifiziert, die mit dieser jüngsten Welle von Angriffen in Verbindung stehen: READ_ME9.html, READ_ME10.htmlund READ_ME11.html.
Die Ransomware-Notizen, die mit diesem Bedrohungsakteur in Verbindung gebracht werden, haben fast den gleichen Inhalt, mit Ausnahme einer dynamischen ID, die jedem Opfer zugewiesen wird. Die in den Notizen angegebene Lösegeldforderung beträgt 0,1 BTC, was derzeit ca. 6,6k-6,7k USD entspricht (basierend auf dem aktuellen Bitcoin-Wechselkurs).
Beispiel für den Inhalt einer Ransomware-Notiz
Die angegebene Bitcoin-Adresse für die Lösegeldzahlung lautet: bc1qnuxx83nd4keeegrumtnu8kup8g02yzgff6z53l.
Nach Prüfung der Transaktionsverlauf dieser Brieftaschescheint die jüngste Überweisung am 27. April 2024 stattgefunden zu haben, aber dabei wurde Geld von dieser auf eine andere eine andere Wallet (bc1qytcntagd9wqur4fmnqpjmp2s4n8kgzd49c7qlf), und das Geld, das vorher dort war, wurde seit dem 22. März 2024 nicht mehr angerührt. Es sieht nicht so aus, als ob an diese Adresse aktiv Lösegeld für diese Kampagne gezahlt wird.
Transaktionsverlauf für TellYouThePass Bitcoin-Adresse.
Censys Search query for compromised hosts: services: (http.response.body:{“READ_ME9.html”, “READ_ME10.html”, “READ_ME11.html”} and http.response.body:”*.locked*”).
Verfolgung von TellYouThePass-Infektionen
Wir haben ein Live-Dashboard veröffentlicht, das öffentlich zugängliche Hosts verfolgt, die mit der TellYouThePass-Ransomware infiziert sind. Mit Stand vom 13. Juni beobachten wir derzeit rund 1.000 infizierte Hosts online.
Censys beobachtete einen raschen Anstieg der Zahl der infizierten Hosts, die TellYouThePass-Ransomware-Notizen enthielten, beginnend mit Null am 7. Juni. In den darauffolgenden Tagen kam es zu einem deutlichen Anstieg:
- 8. Juni: Etwa 670 infizierte Hosts, die eine Kombination aus "READ_ME9" und "READ_ME10" anzeigen, wobei "READ_ME9" am häufigsten vorkommt.
- 9. Juni: Fast 1.700 infizierte Wirte ausgesetzt.
- 10. Juni: Ungefähr 1.800 infizierte Wirte ausgesetzt.
- 11. Juni: Die Zahl der exponierten infizierten Wirte beginnt zu sinken und liegt nun wieder bei etwa 1700
- 12. Juni: Censys Eine neue Welle von Infektionen mit einem anderen Erpresserbrief entdeckt: "READ_ME11".
- 13. Juni: Die Zahl der infizierten Hosts, die dem Virus ausgesetzt sind, ist weiter gesunken. Am 13. Juni waren noch etwa 1.000 Hosts online.
Mehr als die Hälfte dieser Kompromittierungen scheint in China stattzufinden. Dies deckt sich mit den Beobachtungen in der ursprünglichen Sicherheitsempfehlung des taiwanesischen Red-Team-Unternehmens DEVCORE dass XAMPP-Installationen auf Windows-Systemen, die in den Sprachumgebungen Traditionelles Chinesisch, Vereinfachtes Chinesisch oder Japanisch ausgeführt werden, standardmäßig so konfiguriert sind, dass die ausführbare PHP-Binärdatei im CGI-Verzeichnis offengelegt wird, wodurch sie standardmäßig für CVE-2024-4577 anfällig sind.
Während die jüngste Angriffswelle in erster Linie Ransomware-Notizen mit den Nummern 9 bis 11 betrifft, hat Censys auch eine kleine Anzahl von Hosts beobachtet, die zwei Ransomware-Notizen mit niedrigeren Nummern aussetzen: READ_ME1.html und READ_ME4.html (Search Abfrage). Es ist möglich, dass dies Überbleibsel früherer TellYouThePass-Kampagnen sind.
Die Forscher von Arctic Wolf haben vorgeschlagen, dass READ_ME4.html vor allem mit der November 2023-Kampagne, die auf verwundbare Apache ActiveMQ Instanzen.
In Übereinstimmung mit dieser Hypothese hat Censys Hinweise auf ActiveMQ-Instanzen auf einigen der Hosts identifiziert, die die READ_ME4.html Datei ausgesetzt sind, was sie möglicherweise mit den früheren, auf ActiveMQ ausgerichteten Angriffen in Verbindung bringt.
Beispiel einer Verzeichnisauflistung auf einem Host, der eine READ_ME4.html Lösegeldforderung und einen ActiveMQ-bezogenen Dienst offenlegt
Charakterisierung der infizierten Wirte
Wie bereits erwähnt, scheint die Ransomware aus unserer Scan-Perspektive den zugrunde liegenden PHP-Dienst so zu verändern, dass ein offenes Verzeichnis angezeigt wird, das das interne Dateisystem des angegriffenen Hosts offenlegt.
Bei der Analyse dieser Verzeichnisauflistungen haben wir eine 9,0M große Datei namens help.scr auf 78 kompromittierten Hosts, die unsere Aufmerksamkeit erregte. SCR-Dateien, kurz für "Screensaver"-Dateien, sind ausführbare Dateien, die häufig zur Verbreitung von Malware verwendet werden. Diese Dateien können bösartigen Code enthalten, der als Bildschirmschoner oder anderes scheinbar harmloses Programm getarnt ist.
Es ist zunächst unklar, ob diese help.scr Dateien bereits vor der Kompromittierung auf den Rechnern vorhanden waren oder ob sie von der TellYouThePass-Kampagne abgelegt wurden.
Beispiel 1: Verzeichnisauflistung, die eine help.scr-Datei offenlegt
Auf einem der kompromittierten Hosts, der im obigen Screenshot zu sehen ist, wurde der Zeitstempel für help.scr 2023-11-30 13:09, was mit dem Zeitpunkt der ActiveMQ-Ausbeutungswelle vom November 2023 durch TellYouThePass übereinstimmt. Diese könnte Dies könnte darauf hindeuten, dass die Datei ein Überbleibsel dieser Infektion ist, aber es ist auch möglich, dass sie in keinem Zusammenhang mit der TellYouThePass-Kampagne steht.
Schauen wir uns ein anderes Beispiel an.
Beispiel 2: Verzeichnisauflistung, die eine help.scr-Datei offenlegt
Auf diesem Host ist der Zeitstempel der Datei help.scr der 11. Juni 2024, was sich mit der Zeitachse der aktuellen Kampagne deckt. Dies ist ein weiterer Hinweis darauf, dass die Datei mit der Ransomware in Verbindung stehen könnte, bleibt aber spekulativ.
Bei der Prüfung einiger dieser Dateipfade in der URLhaus-Datenbank wurde festgestellt, dass viele von ihnen mit dem Tag "TellYouThePass" ab heute, dem 14. Juni 2024, gemeldet und zugeordnet wurden (https://urlhaus.abuse.ch/browse/tag/TellYouThePass/).
Weitere Analysen sind erforderlich, um den Ursprung der Datei und ihre mögliche Nutzung eindeutig zu bestimmen.
Censys Search query for compromised directory listings exposing a help.scr file: services: (http.response.body:{“READ_ME9.html”, “READ_ME10.html”, “READ_ME11.html”} and http.response.body:”*.locked*” and http.response.body:”*help.scr*”)
Was kann getan werden?
Diese spezielle Kampagne scheint das Internet einfach wahllos nach anfälligen PHP-Servern zu durchsuchen und diese unabhängig vom Eigentümer oder der Art der Website auszunutzen. Dieses opportunistische Verhalten deutet darauf hin, dass die Angreifer wahrscheinlich nicht auf bestimmte Organisationen oder Personen abzielen, sondern einfach versuchen, leicht identifizierbare anfällige Server auszunutzen.
Es wird daher dringend empfohlen, Ihre PHP-Version umgehend zu aktualisieren und auf eine sicherere Alternative zu PHP-CGI umzusteigen.
Referenzen: